渗透测试之XSS漏洞

         XSS是一种经常出现在Web应用中的计算机安全漏洞，它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

        一：攻击方式

        1、反射型：又是非持久性的，非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。 
通常，黑客先将恶意代码写好，然后将连接发给受害者，受害者只要点击就会出现攻击现象

        2、存储型：持久性的，会把用户输入的数据存储到数据库中。例如，留言板等。只要用户进入页面代码将会执行

        3、DOM型：DOM型与前两者的差别是，只在客户端进行解析，不需要服务器的解析响应